Новости ИСП РАН

Президиум РАН принял постановление о мерах по развитию системного программирования

13 декабря Президиум РАН принял постановление № 197 «O мерах по развитию системного программирования как ключевого направления противодействия киберугрозам». Документ был одобрен по итогам обсуждения доклада директора ИСП РАН А.И. Аветисяна. Полный текст постановления:

Обеспечение ускоренного внедрения цифровых технологий в экономику и социальную сферу – одна из важнейших задач и приоритетов развития Российской Федерации, определенных Указом Президента Российской Федерации от 7 мая 2018 г. № 204 «О национальных целях и стратегических задачах Российской Федерации на период до 2024 года» и Стратегией научно-технологического развития Российской Федерации, утвержденной Указом Президента Российской Федерации от 1 декабря 2016 г. № 642.

Системное программное обеспечение отвечает за надежную и эффективную интеграцию программных и аппаратных компонентов информационно-коммуникационных технологий (далее – ИКТ), объединяя их в единые программно-аппаратные комплексы. В значительной мере важнейшие характеристики ИКТ-решений – надежность, отказоустойчивость, безопасность, быстродействие – определяются свойствами системного программного обеспечения (далее – ПО). Развитие системного программирования дает прямой вклад в решение задач безопасности и технологической независимости России, обеспечивает увеличение доли технологически емкого производства в экономике страны и рост экспортного потенциала отечественных производителей сложной техники и программного обеспечения.

Новые тенденции в развитии информационных технологий создают новые риски для информационной безопасности. Цифровой мир стремительно расширяется, становится мобильным, управляет производством и технологическими процессами, охватывает всю среду обитания человека – от бытовых приборов до умных офисов и интеллектуального транспорта. Все больше информации передается через мобильные сервисы, ранее изолированные системы начинают взаимодействовать и обмениваться информацией, лавинообразно нарастает поток данных и объемы хранения. Внедрение новых парадигм организации распределенных крупномасштабных систем, таких как «Интернет вещей» (Internet of Things, IoT), приведет к новым рискам информационной безопасности, когда через сеть станут доступны практически все предметы, окружающие человека.

Технологический рывок, вызвавший стремительный прогресс в области ИКТ, привел также к росту спектра различных уязвимостей, угроз и рисков, связанных с неаккуратным использованием и с непредвиденными эффектами интеграции разнородных технологий. Это, в свою очередь, приводит к созданию ненадежных и слабо защищенных инфраструктурных систем, подвергающих опасности как находящиеся под их контролем данные и бизнес-процессы, так жизни и здоровье людей. Обеспечение конфиденциальности, целостности, доступности данных, защита коммерческой тайны, сохранение тайны частной жизни требуются во всех областях информационных технологий. Системному программированию предназначено найти ответ на возникающие вызовы и создание более безопасных и надежных систем.

Основными причинами нарушения информационной безопасности (утечка персональных данных, кража или подмена данных, сбой в критической инфраструктуре и др.) являются уязвимости в программном обеспечении и аппаратуре. Только за первые четыре месяца 2017 года в базе известных уязвимостей National Vulnerability Database, которую поддерживает Национальный институт стандартов и технологии США, зарегистрировано более 450 критических уязвимостей. Ошибки были найдены в аппаратном обеспечении, во встроенных и управляющих системах, серверном программном обеспечении, популярных приложениях пользователей. Ущерб от киберпреступлений составляет сотни миллиардов долларов.

Классические методы информационной безопасности, такие как защита по периметру, антивирусы, организационные мероприятия и др. необходимы, но не достаточны. Более того, невозможно разработать унифицированную технологию (например, «безопасную операционную систему»), гарантирующую полную безопасность. Требуется стек технологий, покрывающий весь жизненный цикл системы, который позволит находить и устранять на этапах разработки и внедрения максимальное количество ошибок в исполняемом коде и предотвращать эксплуатацию существующих ошибок или смягчать их последствия. Фактически качество технологий в этом стеке определяет уровень безопасности программно-аппаратной системы.

Заслушав и обсудив доклад члена-корреспондента РАН Аветисяна А.И. «О мерах по развитию системного программирования как ключевого направления противодействия киберугрозам» и выступления участников обсуждения, президиум РАН отмечает, что в современном мире происходит резкое возрастание роли безопасности системного программного обеспечения. Передовыми технологиями, обеспечивающими кибербезопасность, в полной мере обладают только США. Европейские и азиатские компании вынуждены пользоваться американскими инструментами. На протяжении многих лет в США ведутся государственные программы, нацеленные на долгосрочное развитие технологий кибербезопасности (программы DARPA АРАС, CGC, VET, запускаемый проект CHESS), создание научных школ в ведущих университетах и организацию их совместной деятельности (CyLab Security and Privacy Institute).

В Федеральном государственном бюджетном учреждении науки Институте системного программирования им. В.П. Иванникова Российской академии наук разработаны и успешно внедрены технологии мирового уровня, отвечающие вызовам кибербезопасности, благодаря базовому финансированию РАН, грантам РФФИ, контрактам Минобрнауки России, контрактам с компанией «Самсунг» и ряда других компаний.

Достижение фундаментальных результатов и долгосрочное развитие технологий невозможно силами только одной из заинтересованных сторон: поставщиков или разработчиков ПО, государственных или академических организаций. Необходима государственная инициатива по созданию комплексной научно-технической программы для развития технологий безопасности ПО. Для успешной работы программы требуется создание жизнеспособной системы, учитывающей все аспекты развития отрасли: государственное регулирование, промышленную разработку ПО, долгосрочное развитие передовых технологий и подготовку квалифицированных кадров. Ключевая экспертная роль центра компетенций в такой программе могла бы принадлежать РАН. Необходимость обеспечивать высокий уровень кибербезопасности при сохранении на конкурентоспособном уровне эффективности и продуктивности является долговременным вызовом. Президиум РАН ПОСТАНОВЛЯЕТ:

1. Принять к сведению изложенную в докладе члена-корреспондента РАН Аветисяна А.И. информацию о состоянии системного программирования как ключевого направления противодействия киберугрозам и мерах по их развитию.

2. Активизировать взаимодействие РАН с ведущими отечественными организациями в области развития системного программирования как ключевого направления противодействия киберугрозам.

3. Поручить вице-президенту РАН академику РАН Козлову В.В. до 1 марта 2019 г. подготовить:

3.1. проект обращения в Правительство Российской Федерации о мерах по развитию системного программирования как ключевого направления противодействия киберугрозам в Российской Федерации, прежде всего в рамках национального проекта (программы) «цифровая экономика»;

3.2. разработку соответствующей комплексной научно-технической программы для создания новых моделей, методов и соответствующих технологий системного программирования, позволяющих проводить глубокий анализ и трансформацию ПО с целью: найти и устранить на этапе разработки максимальное количество ошибок в исполняемом коде (жизненный цикл разработки безопасного ПО); обеспечить устойчивость программной системы, затруднив эксплуатацию существующих ошибок или смягчить последствия их эксплуатации, после внедрения программы, в том числе за счет развития методов криптографии, квантовой передачи данных и программно-аппаратных решений; представить в Совет по приоритетному направлению Стратегии научно-технологического развития «Переход к цифровым, интеллектуальным производственным технологиям, роботизированным системам, новым материалам и способам конструирования, создание систем обработки больших данных, машинного обучения и искусственного интеллекта» комплексную научно-техническую программу для согласования;

3.3. предложения в Высшую аттестационную комиссию о введении в номенклатуру научных специальностей новой специальности, по которой присуждаются ученые степени «Методы и технологии анализа программно-¬аппаратных комплексов для обеспечения кибербезопасности».

4. Предусмотреть в проекте Программы фундаментальных научных исследований на долгосрочную перспективу отдельное направление исследований «Системное программирование как инструмент противодействия киберугрозам».

5. Поручить Отделению математических наук РАН (академик РАН Козлов В.В.):

5.1. подготовить предложения в программу фундаментальных научных исследований президиума РАН «Фундаментальные проблемы системного программирования для обеспечения информационной безопасности программно-аппаратных систем»;

5.2. подготовить предложения по организации распределенного центра компетенции под научно-методическим руководством РАН, по созданию жизнеспособной системы, учитывающей все аспекты развития отрасли: государственное регулирование, промышленную разработку ПО, долгосрочное развитие передовых технологий и подготовку квалифицированных кадров для создания условий эффективного участия в международной кооперации как с целью трансфера знаний и технологий в РФ, так и создания благоприятных условий обеспечения технологической независимости и экспорта инноваций.

Президент РАН академик РАН А.М. Сергеев

Главный ученый секретарь Президиума РАН академик РАН Н.Н. Долгушкин

Источник: официальный сайт РАН.